🔒 Chính sách bảo mật

Bảo vệ dữ liệu với OneCare

OneCare cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của người dùng trong toàn bộ quá trình sử dụng dịch vụ.

1. Thông tin được thu thập

1.1. Thông tin cung cấp khi đăng ký

Khi đăng ký tài khoản, OneCare thu thập các thông tin sau: họ và tên đầy đủ; số điện thoại (dùng để xác thực OTP và liên lạc dịch vụ); loại và số giấy tờ tùy thân (Căn cước công dân, hộ chiếu hoặc giấy tờ tương đương). Việc thu thập thông tin giấy tờ tùy thân tại bước đăng ký là bắt buộc do OneCare cung cấp dịch vụ ký số hồ sơ y tế, một dịch vụ yêu cầu xác minh danh tính người dùng theo quy định tại Nghị định 130/2018/NĐ-CP về chữ ký số và Thông tư 46/2018/TT-BYT về hồ sơ bệnh án điện tử.

1.2. Thông tin phát sinh khi sử dụng dịch vụ

Trong quá trình sử dụng, OneCare có thể ghi nhận: lịch sử đặt lịch và khám chữa bệnh; thông tin hồ sơ bệnh án điện tử do cơ sở y tế cung cấp; nhật ký hoạt động ký số; và dữ liệu kỹ thuật như địa chỉ IP, loại thiết bị, phiên bản hệ điều hành phục vụ mục đích vận hành và bảo mật hệ thống.

2. Mục đích sử dụng thông tin

Dữ liệu cá nhân được sử dụng cho các mục đích sau và chỉ các mục đích này:

  • Xác thực danh tính người dùng theo Nghị định 130/2018/NĐ-CP về chữ ký số;
  • Lưu trữ và quản lý hồ sơ bệnh án điện tử theo Thông tư 46/2018/TT-BYT;
  • Thực hiện ký số giấy tờ y tế có giá trị pháp lý theo quy định hiện hành;
  • Tuân thủ yêu cầu kê đơn thuốc điện tử theo Thông tư 26/2025/TT-BYT;
  • Gửi thông báo xác thực, nhắc lịch hẹn và thông tin dịch vụ qua số điện thoại đã đăng ký;
  • Cải thiện chất lượng dịch vụ thông qua phân tích dữ liệu ẩn danh, tổng hợp.

3. Cơ sở pháp lý xử lý dữ liệu

OneCare xử lý dữ liệu cá nhân dựa trên các căn cứ pháp lý sau: (I) sự đồng ý của người dùng khi đăng ký tài khoản; (II) thực hiện nghĩa vụ pháp lý bắt buộc theo Nghị định 130/2018/NĐ-CP, Thông tư 46/2018/TT-BYT, Thông tư 26/2025/TT-BYT và Luật Khám bệnh, chữa bệnh số 15/2023/QH15; và (III) lợi ích hợp pháp trong việc bảo đảm an toàn, vận hành hệ thống và phòng chống gian lận.

4. Bảo mật dữ liệu

OneCare áp dụng các biện pháp kỹ thuật và tổ chức ở mức độ phù hợp với rủi ro để bảo vệ dữ liệu cá nhân, bao gồm:

  • Mã hóa dữ liệu trong quá trình truyền tải bằng giao thức TLS/HTTPS;
  • Mã hóa dữ liệu lưu trữ theo chuẩn AES-256;
  • Kiểm soát truy cập theo vai trò, đảm bảo chỉ nhân sự được ủy quyền mới có thể truy cập dữ liệu người dùng;
  • Giám sát hệ thống liên tục và kiểm tra bảo mật định kỳ;
  • Thông báo sự cố trong vòng 72 giờ cho người dùng bị ảnh hưởng và cơ quan có thẩm quyền theo Luật An ninh mạng số 116/2025/QH15, có hiệu lực từ ngày 01/7/2026.

5. Chia sẻ thông tin

OneCare không bán, cho thuê hoặc chia sẻ dữ liệu cá nhân người dùng cho bên thứ ba vì mục đích thương mại. Dữ liệu chỉ được chia sẻ trong các trường hợp sau:

  • Với cơ sở y tế đối tác khi người dùng chủ động sử dụng dịch vụ liên quan và đã được thông báo rõ ràng;
  • Với nhà cung cấp dịch vụ chứng thực chữ ký số được cấp phép, ở mức tối thiểu cần thiết cho giao dịch ký số;
  • Theo yêu cầu bắt buộc của cơ quan nhà nước có thẩm quyền theo quy định pháp luật Việt Nam.

Trong mọi trường hợp chia sẻ, OneCare yêu cầu bên nhận dữ liệu cam kết bảo mật và chỉ sử dụng đúng mục đích đã được thông báo.

6. Lưu trữ dữ liệu

Dữ liệu hồ sơ bệnh án điện tử được lưu trữ tối thiểu 10 năm theo quy định tại Thông tư 46/2018/TT-BYT. Dữ liệu tài khoản và thông tin ký số được lưu trữ trong suốt thời gian tài khoản còn hoạt động và thêm 05 năm sau khi tài khoản bị xóa, trừ trường hợp pháp luật quy định thời hạn dài hơn. Toàn bộ dữ liệu được lưu trữ trên máy chủ đặt tại Việt Nam.

7. Quyền của người dùng

Theo Nghị định 13/2023/NĐ-CP, người dùng có đầy đủ các quyền sau đối với dữ liệu cá nhân của mình:

  • Quyền được biết: nhận thông tin về việc dữ liệu của mình được xử lý như thế nào;
  • Quyền truy cập: nhận bản sao toàn bộ dữ liệu cá nhân OneCare đang lưu giữ;
  • Quyền chỉnh sửa: yêu cầu cập nhật hoặc sửa đổi dữ liệu không chính xác;
  • Quyền xóa: yêu cầu xóa tài khoản và dữ liệu cá nhân, ngoại trừ dữ liệu bắt buộc lưu trữ theo quy định pháp luật về hồ sơ y tế;
  • Quyền hạn chế xử lý: yêu cầu tạm dừng xử lý dữ liệu trong thời gian chờ xác minh hoặc khiếu nại;
  • Quyền phản đối: từ chối cho phép xử lý dữ liệu cho các mục đích ngoài phạm vi dịch vụ;
  • Quyền khiếu nại: gửi khiếu nại đến OneCare hoặc Cục An toàn thông tin, Bộ Thông tin và Truyền thông.

Để thực hiện các quyền trên, người dùng liên hệ qua email hotro@one-care.vn. OneCare cam kết phản hồi trong vòng 30 ngày làm việc kể từ ngày nhận yêu cầu.

8. Thay đổi chính sách

OneCare có thể cập nhật Chính sách Bảo vệ Dữ liệu này theo từng thời kỳ để phản ánh thay đổi trong hoạt động dịch vụ hoặc quy định pháp luật. Mọi thay đổi quan trọng sẽ được thông báo cho người dùng qua ứng dụng hoặc số điện thoại đăng ký ít nhất 15 ngày trước khi có hiệu lực.